2020 var et rekordår for ransomware-betalinger ($692 millioner), og 2021 vil sandsynligvis være højere, når alle data er inde, Chainalysis for nylig rapporteret. Med udbruddet af Ukraine-Rusland-krigen forventes ransomwares brug som et geopolitisk værktøj - ikke kun et pengegreb - også at vokse.
Men en ny amerikansk lov kan dæmme op for denne stigende afpresning. USA's præsident Joe Biden for nylig underskrevet til lov, Strengthening American Cybersecurity Act eller Peters-lovforslaget, der kræver, at infrastrukturvirksomheder rapporterer til regeringen væsentlige cyberangreb inden for 72 timer og inden for 24 timer, hvis de foretager en ransomware-betaling.
Hvorfor er dette vigtigt? Blockchain-analyse har vist sig mere og mere effektiv til at forstyrre ransomware-netværk, som det sås i Colonial Pipeline-sagen sidste år, hvor justitsministeriet var i stand til at genvinde 2.3 millioner dollars af det samlede beløb, som et pipelineselskab betalte til en ransomware-ring.
Men for at fastholde denne positive tendens er der brug for flere data, og de skal leveres på en mere rettidig måde, især ondsindedes kryptoadresser, da næsten alle ransomware-angreb involvere blockchain-baserede kryptovalutaer, normalt Bitcoin (BTC).
Det er her, den nye lov skal hjælpe, fordi ransomware-ofre indtil nu sjældent rapporterer afpresningen til offentlige myndigheder eller andre.
"Det vil være meget nyttigt," sagde Roman Bieda, leder af svindelundersøgelser hos Coinfirm, til Cointelegraph. "Muligheden til øjeblikkeligt at 'markere' specifikke mønter, adresser eller transaktioner som 'risikofyldte' […] gør det muligt for alle brugere at se risikoen selv før et hvidvaskforsøg."
"Det vil absolut hjælpe med analyse af blockchain retsmedicinske forskere," sagde Allan Liska, en senior efterretningsanalytiker hos Recorded Future, til Cointelegraph. "Mens ransomware-grupper ofte skifter tegnebøger fra for hvert ransomware-angreb, flyder pengene til sidst tilbage til en enkelt pung. Blockchain-forskere er blevet meget gode til at forbinde disse prikker." De har været i stand til at gøre dette på trods af blanding og andre taktikker brugt af ransomware-ringe og deres konfødererede pengehvidvaskere, tilføjede han.
Siddhartha Dalal, professor i professionel praksis ved Columbia University, var enig. Sidste år var Dalal medforfatter til et papir titlen "Identifikation af ransomware-aktører i Bitcoin-netværket", der beskrev, hvordan han og hans medforskere var i stand til at bruge grafiske maskinlæringsalgoritmer og blockchain-analyse til at identificere ransomware-angribere med "85 % forudsigelsesnøjagtighed på testdatasættet."
Mens deres resultater var opmuntrende, sagde forfatterne, at de kunne opnå endnu bedre nøjagtighed ved at forbedre deres algoritmer yderligere og, kritisk, "få flere data, der er mere pålidelige."
Udfordringen for retsmedicinere her er, at de arbejder med meget ubalancerede eller skæve data. Columbia University-forskerne var i stand til at trække på 400 millioner Bitcoin-transaktioner og tæt på 40 millioner Bitcoin-adresser, men kun 143 af disse var bekræftede ransomware-adresser. Med andre ord opvejede de ikke-bedrageriske transaktioner langt de svigagtige transaktioner. Med så skæve data som dette, vil modellen enten markere mange falske positiver eller vil udelade de svigagtige data som en mindre procentdel.
Coinfirm's Bieda leverede en eksempel på dette problem i et interview sidste år:
"Sig, at du vil bygge en model, der vil trække billeder af hunde ud fra en skare af kattebilleder, men du har et træningsdatasæt med 1,000 kattebilleder og kun ét hundebillede. En maskinindlæringsmodel 'ville lære, at det er okay at behandle alle billeder som kattebilleder, da fejlmargenen [kun] er 0.001'."
Sagt på en anden måde, ville algoritmen "bare gætte 'kat' hele tiden, hvilket ville gøre modellen ubrugelig, selvfølgelig, selvom den scorede højt i den samlede nøjagtighed."
Dalal blev spurgt, om denne nye amerikanske lovgivning ville hjælpe med at udvide det offentlige datasæt af "svigagtige" Bitcoin- og kryptoadresser, der er nødvendige for en mere effektiv blockchain-analyse af ransomware-netværk.
"Der er ingen tvivl om det," sagde Dalal til Cointelegraph. "Selvfølgelig er flere data altid gode til enhver analyse." Men endnu vigtigere, ved lov vil ransomware-betalinger nu blive afsløret inden for en 24-timers periode, hvilket giver mulighed for "en bedre chance for genopretning og også muligheder for at identificere servere og angrebsmetoder, så andre potentielle ofre kan tage defensive skridt for at beskytte dem,” tilføjede han. Det skyldes, at de fleste gerningsmænd bruger den samme malware til at angribe andre ofre.
Et underudnyttet retsmedicinsk værktøj
Det er generelt ikke kendt, at retshåndhævelse gavner, når kriminelle bruger kryptovalutaer til at finansiere deres aktiviteter. "Du kan bruge blockchain-analyse til at afdække hele deres forsyningskæde," sagde Kimberly Grauer, forskningsdirektør hos Chainalysis. "Du kan se, hvor de køber deres skudsikre hosting, hvor de køber deres malware, deres affiliate baseret i Canada" og så videre. "Du kan få en masse indsigt til disse grupper" gennem blockchain-analyse, tilføjede hun ved en nylig Chainalysis Media Roundtable i New York City.
Men vil denne lov, som det stadig vil tage måneder at implementere, virkelig hjælpe? "Det er positivt, det ville hjælpe," svarede Salman Banaei, co-head of public policy hos Chainalysis, ved samme begivenhed. "Vi gik ind for det, men det er ikke sådan, at vi fløj i blinde før." Ville det gøre deres retsmedicinske indsats væsentligt mere effektiv? "Jeg ved ikke, om det ville gøre os meget mere effektive, men vi ville forvente en vis forbedring med hensyn til datadækning."
Der er stadig detaljer, der skal udarbejdes i regelfastsættelsesprocessen, før loven implementeres, men et åbenlyst spørgsmål er allerede blevet rejst: Hvilke virksomheder skal overholde? "Det er vigtigt at huske, at lovforslaget kun gælder "enheder, der ejer eller driver kritisk infrastruktur," sagde Liska til Cointelegraph. Selvom det kunne omfatte titusindvis af organisationer på tværs af 16 sektorer, "gælder dette krav stadig kun en lille del af organisationer i USA."
Men måske ikke. Ifølge til Bipul Sinha, administrerende direktør og medstifter af Rubrik, et datasikkerhedsfirma, de infrastruktursektorer, der er citeret i loven omfatter finansielle tjenesteydelser, IT, energi, sundhedspleje, transport, fremstilling og kommercielle faciliteter. "Med andre ord, næsten alle," skrev han i en Fortune artikel for nylig.
Et andet spørgsmål: Skal hvert angreb rapporteres, også dem, der anses for relativt trivielle? Cybersecurity and Infrastructure Security Agency, hvor virksomhederne vil rapportere, kommenterede for nylig, at selv små handlinger kan anses for at være rapporterbare. "På grund af den truende risiko for russiske cyberangreb […] kan enhver hændelse give vigtige brødkrummer, der fører til en sofistikeret angriber," New York Times rapporteret.
Er det rigtigt at antage, at krigen gør behovet for at træffe forebyggende foranstaltninger mere presserende? Præsident Joe Biden har blandt andre rejst sandsynligheden for gengældelsescyberangreb fra den russiske regering, trods alt. Men Liska tror ikke, at denne bekymring er slået ud - ikke endnu, i det mindste:
“De gengældelsesangreb ransomware efter den russiske invasion af Ukraine ser ikke ud til at være blevet til noget. Ligesom meget af krigen var der dårlig koordination fra Ruslands side, så eventuelle ransomware-grupper, der kunne være blevet mobiliseret, var det ikke.”
Alligevel gik næsten tre fjerdedele af alle penge tjent gennem ransomware-angreb til hackere knyttet til Rusland i 2021, ifølge til Chainalysis, så et skridt op i aktiviteten derfra kan ikke udelukkes.
Ikke en selvstændig løsning
Maskinlæringsalgoritmer, der identificerer og sporer ransomware-aktører, der søger blockchain-betaling - og næsten al ransomware er blockchain-aktiveret - vil uden tvivl forbedres nu, sagde Bieda. Men maskinlæringsløsninger er kun "en af de faktorer, der understøtter blockchain-analyse og ikke en selvstændig løsning." Der er stadig et kritisk behov "for bredt samarbejde i branchen mellem retshåndhævelse, blockchain-efterforskningsvirksomheder, udbydere af virtuelle aktiver og selvfølgelig ofre for svindel i blockchain."
Dalal tilføjede, at der stadig er mange tekniske udfordringer, for det meste resultatet af pseudo-anonymitetens unikke natur, og forklarer til Cointelegraph:
"De fleste offentlige blockchains er tilladelsesløse, og brugerne kan oprette så mange adresser, som de vil. Transaktionerne bliver endnu mere komplekse, da der er tumblere og andre blandetjenester, som er i stand til at blande plettede penge med mange andre. Dette øger den kombinatoriske kompleksitet ved at identificere gerningsmænd, der gemmer sig bag flere adresser."
Flere fremskridt?
Ikke desto mindre ser det ud til, at tingene går i den rigtige retning. "Jeg synes, vi gør betydelige fremskridt som industri," tilføjede Liska, "og det har vi gjort relativt hurtigt." En række virksomheder har udført meget innovativt arbejde på dette område, "og finansministeriet og andre statslige agenturer er også begyndt at se værdien i blockchain-analyse."
På den anden side, mens blockchain-analyse tydeligvis gør fremskridt, "er der så mange penge, der bliver tjent på ransomware og cryptocurrency-tyveri lige nu, at selv virkningen af dette arbejde blegner sammenlignet med det overordnede problem," tilføjede Liska.
Selvom Bieda ser fremskridt, vil det stadig være en udfordring at få virksomheder til at rapportere blockchain-svindel, især uden for USA. "I de sidste to år har mere end 11,000 ofre for svindel i blockchain nået Coinfirm gennem vores Reclaim Crypto-websted," sagde han. "Et af de spørgsmål, vi stiller, er: 'Har du anmeldt tyveriet til retshåndhævelsen?' - og mange ofre havde ikke."
Dalal sagde, at regeringsmandatet er et vigtigt skridt i den rigtige retning. "Dette vil helt sikkert være en game changer," sagde han til Cointelegraph, da angribere ikke vil være i stand til at gentage brugen af deres foretrukne teknikker, "og de bliver nødt til at bevæge sig meget hurtigere for at angribe flere mål. Det vil også reducere stigmatiseringen af angrebene, og potentielle ofre vil være i stand til at beskytte sig selv bedre."
Kilde: https://cointelegraph.com/news/skewed-data-how-could-a-new-us-law-boost-blockchain-analysis